技術的な説明
Flowise の CustomMCP ノードにおける最大重大度 (CVSS 10.0) のコード インジェクション脆弱性の積極的なエクスプロイテーションが、2026年4月初旬に VulnCheck の研究者により確認されました。2025年9月にパッチが適用された (バージョン 3.0.6) にもかかわらず、12,000~15,000 インスタンスがオンラインで露出したままです。この脆弱性により、セキュリティ検証なしで MCP サーバー構成解析中に JavaScript コードを実行することが可能になります。
攻撃経路
攻撃者は CustomMCP ノード構成を通じて悪意のあるコードを注入し、child_process (コマンド実行) と fs (ファイル システム) に Node.js ランタイムの完全な権限でアクセスします。Flowise インスタンスは通常、OpenAI、Anthropic、Azure OpenAI の API キーとデータベースおよび内部システムの認証情報を保持しています。
影響を受けるシステム
バージョン 3.0.6 より前の Flowise。MCP サーバー統合で AI エージェント ワークフロー用に Flowise を使用しているすべての組織がリスクにさらされています。
緩和策
Flowise をバージョン 3.0.6 以降に直ちにアップグレードしてください。露出した Flowise インスタンスの侵害の兆候を監査してください。Flowise に保存されているすべての API キーと認証情報をローテーションしてください。Flowise インスタンスをパブリック インターネットからの露出から制限してください。